Neue PCI DSS Version 3.0

Der Standard für die Sicherheit von Kredit- und Debitkarten wurde vom PCI Security Standards Council überarbeitet. Die Version 3.0 wurde publiziert.

PCI DSS steht für Payment Card Industry, Data Security Standard und definiert die Sicherheitsanforderungen an die Infrastruktur von allen Unternehmen, welche Zahlkartendaten verarbeiten, speichern oder übermitteln. In der Kartenwelt sind dies Händler, Payment Service Provider, Kartenverarbeiter (Acquirer) sowie Herausgeber (Issuer) und alle in diesem Umfeld tätigen Dienstleister.

In Zusammenarbeit mit unserem Partner Ergonomics haben wir für Sie die wichtigsten Punkte zusammengefasst:

  • Aufgrund von präzisierten Angaben über die Segmentierung sind weitere System-komponenten für PCI DSS relevant (in-scope). Dies kann insbesondere auch E-Commerce Server betreffen, die Kartenzahlungen entgegennehmen, auch wenn die Zahlungsdaten direkt an einen Verarbeiter weitergereicht werden
  • Im Rahmen von PCI DSS ist erlaubt, dass identisch ausgestattet und konfigurierte Systemkomponenten nur stichprobenartig geprüft werden müssen. Wenn ein Händler zum Beispiel 400 identisch ausgestattete Verkaufsgeschäfte hat, mussten bislang nur einige wenige vor Ort geprüft werden. Die Größe der geforderten Stichprobe wurde mit der neuen Version erhöht. Insbesondere müssen nun alle vorhandenen Kombinationen geprüft werden.
  • Zahlterminals müssen neu mit einem Schutzmechanismus ausgestattet sein, mit welchem erkannt wird, ob ein Terminal manipuliert oder ungerechtfertigt ausgetauscht wurde.
  • Die Festplattenverschlüsselung muss mit unabhängigen Credentials gesichert sein. Benutzername/Passwort der zentralen Benutzerverwaltung (z.B. Active Directory) dürfen nicht mehr genutzt werden.
  • Die Anforderungen an die periodischen Pen Tests wurden präzisiert.

Auch die Anforderungen an die geforderten organisatorischen Vorkehrungen wurden erhöht:

  • Dienstleister im Umfeld von Kartenzahlungen müssen besser überwacht und mit einbezogen werden.
  • PCI DSS fordert nun ein vollständiges Inventar aller Systemkomponenten (Hardware und Software), welche mit Kartendaten in Berührung kommen können. Zudem wird ein aktuelles Inventar aller Wireless Access Points im Unternehmen gefordert.

Die neuen Standards PCI DSS und PCI PA werden ab 1.1.2015 verbindlich. Bis dahin können Beurteilungen und Audits noch basierend auf Version 2.0 durchgeführt werden.

Für Fragen im Zusammenhang mit PCI und dem Vorgehen für eine Selbstbeurteilung oder eine Zertifizierung rufen Sie uns gerne an.

INTERESSIERT? NEUGIERIG? ÜBERZEUGT?

Haben Sie besondere Wünsche oder Anforderungen?